1. ¿Qué datos protege el Reglamento?

  • Nombre y apellidos
  • Domicilio
  • DNI
  • Número de teléfono móvil
  • Correo electrónico
  • Dirección de IP
  • El identificador de una cookie
  • Identificador de la publicidad del teléfono
  • Datos sanitarios
  • Datos bancarios

*Da igual que estos datos se conserven en un sistema informático, a través de videovigilancia o sobre papel. En todo estos casos, los datos personales están sujetos a la protección establecida en el GDPR.

 

2. ¿Cómo se consiguen estos datos?

Estos datos solo pueden ser tratados por una empresa u organización con el “consentimiento informado”. Este consentimiento debe pedirse de manera clara y concisa, en una solicitud diferenciada de otros documentos, especificando el futuro uso de tales datos por parte de la empresa con un lenguaje fácil de entender. Cualquier otra forma para la obtención de estos datos se consideraría fraudulenta.

Es uno de los cambios más significativos con la normativa anterior, pues anteriormente, el consentimiento venía implícito. Ahora se debe diferenciar en documento expreso para esto. Y un usuario puede pedir que borren sus datos.

 

3. ¿Puede un usuario pedir que borren sus datos?

Ya sea previo consentimiento o sin él, si la persona lo solicita, la empresa que dispone de estos datos tiene la obligación de poner en conocimiento aquellos datos que conciernen a la persona en cuestión, así como el tratamiento que tienen de éstos.

Y en ambos casos, cualquier persona que solicite información, modificación o borrado de sus datos, tiene derecho a ponerse en contacto con la empresa, que deberá responder a su petición en el plazo de un mes, si no es así, la empresa deberá indicar los motivos.

Si fuese el segundo de los casos, en el que no hubo consentimiento explícito del individuo, el afectado puede exigir que se borren dichos datos personales. Si ésto no ocurriese en el plazo de un mes, cualquier persona puede ponerse en contacto con las AEPD, Agencia de Protección de Datos que vigilan y supervisan la aplicación del Reglamento. Misma coyuntura en el denominado “derecho al olvido”, se puede pedir el borrado de datos que ya no sean necesarios (ejemplo: ya no se es cliente de dicha empresa, red social, etc). De igual manera sucede con el caso de datos recopilados cuando la persona afectada era menor de edad.

En cuanto al tratamiento de los datos, cualquier persona puede pedir a la organización que detenga dicho tratamiento cuando lo hace por su propio interés o con fines de mercadotecnia directa (ejemplo: ser bombardeado con spam tras una compra por internet).

*Una empresa no estará obligada a borrar los datos personales de una persona si existe otra obligación legal que implique conservar dichos datos, por motivos de interés público como la salud pública o si entra en conflicto con la libertad de expresión o la investigación científica, derechos que también están garantizados.

 

4. ¿Puede una persona reclamar una indemnización por la violación de estos derechos? ¿Cómo?

Sí, cualquier persona puede pedir una compensación económica si ha sufrido daños materiales, como pérdidas materiales, o daños inmateriales, como ansiedad o pérdida de reputación, si los datos personales extraviados infringen otros derechos como la propia imagen, el honor o la dignidad, puesto que han violado el Reglamento al no haber proporcionado la seguridad adecuado al tratar los datos.

En el caso de los daños materiales, si al hacer una compra por internet y facilitar los datos personales, posteriormente el sitio sufre un ciberataque por no contar con la seguridad adecuada, véase una fuga de la información sobre tarjetas de créditos, el damnificado podrá pedir exigir una reclamación al sitio web por los daños económicos.

Si una empresa sufre un ataque informático en el que datos personales hayan sido destruidos, alterados o comunicados a terceros sin autorización, la empresa está obligada a notificar dicha violación a la Agencia Española de Protección de Datos (AEPD), así como a los afectados (en un plazo máximo de 72 horas). Los damnificados pueden presentar una reclamación contra la empresa u organización ante la AEPD por  no haber tomado las medidas específicas de seguridad.

Para presentar una reclamación, se debe hacer a través de la AEPD, teniendo una respuesta en el plazo de tres meses (no confundir con la obligatoriedad de notificación de una empresa, que debe avisar de un ataque en 72 horas). También se pueden emprender acciones legales directamente ante los tribunales e incluso emprender acciones legales contra la propia AEPD si la institución no ha tratado su reclamación de forma adecuada.

Aunque la empresa contra la que se ha presentado la reclamación trate datos en distintos países de la Unión Europea, se aplicará el denominado “mecanismos de ventanilla única”: la Autoridad competente será aquella donde haya presentado la reclamación, que trabajará en colaboración con sus homólogas.

 

5. ¿Qué le espera a una empresa que no se adapte al GDPR?

El GDPR anima a empresas que traten datos personales a que apliquen medidas de protección, por lo que las sanciones son acordes con el nivel de riesgo de sus actividades de tratamiento de datos.

Si los datos personales filtrados son sensibles (sanitarios, raza, religión, datos biométricos o sobre la orientación sexual de una persona), la violación de su protección será tratada con más dureza, pero si, por ejemplo, un propietario de una tienda maneja datos sobre domicilio de clientes e información de facturación (sin datos sobre cuentas bancarias) ni siquiera será necesario notificar a la autoridad competente (AEPD).

Las sanciones impuestas en cada caso particular serán proporcionadas y disuasorias, de modo que tendrán en cuenta aspectos como la gravedad, duración, intencionalidad y negligencia. De este modo, factores como la deficiencia del sistema informático, la previsión contra este tipo de ataques, el número de afectados y la sensibilidad de los datos serán tenidos en cuenta a la hora de estimar las sanciones.

Estas sanciones irán desde:

– Una advertencia acompañada, o no, de una multa económica de hasta 10 millones de euros o un 2% del volumen de negocio anual global del ejercicio financiero anterior por una infracción leve:

  •  No consentimiento de menores
  •  No aplicar medidas de seguridad
  •  No disponer del registro de actividades de tratamiento de datos
  •  No notificar brechas de seguridad
  • No realizar la Evaluación del Impacto
  •  No designar DPO (para aquellas para las que es obligatorio)

*La ley anterior tenía un máximo de 40.000€ por infracción leve (900€-40.000€).

 

– A la prohibición temporal o definitiva del tratamiento de los datos más una multa de hasta 20 millones de euros o un 4% del volumen de negocio anual global del ejercicio financiero anterior por una infracción grave o muy grave:

  •  No cumplir con los principio del GDPR
  • No cumplir con los derechos de los Interesados
  •  No cumplir con los requisitos para transferencia internacional de datos
  •  No cumplir con la resolución de la AEPD

*La ley anterior tenía un máximo de 600.000€ por infracción grave/muy grave (40.001€-600.000€)

Aunque estas cifras podrían aturdir a cualquiera, no nacen con el ánimo de alarmar sino con la intención de concienciar y  potenciar la protección de los datos y la privacidad de todos nosotros. De esta manera animar tanto a empresas como a usuarios y ciudadanos  a colaborar para respetar esta nueva regulación y asegurar una mayor defensa de nuestra información sensible.

 

Comments are closed.